lunedì 20 maggio 2019

Pioggia di attacchi DDoS contro l'Italia: in alcuni casi richiesto un riscatto


Lo rivela la società tedesca Link11, che si occupa specificatamente di difesa contro attacchi DDoS: Link11, che sta proteggendo molteplici aziende italiane, non specifica né numeri né nomi di aziende, ma indica solo che sono molteplici gli attacchi contro hosting provider italiani, ISP e Data center. Attacco che sta determinando disfunzioni e interruzioni di servizi su migliaia di siti ospitati dai provider sotto attacco. 

L'attacco DDoS è accompagnato dalla ricezione di una email, a nome di Turkish Hacker, che richiede il pagamento di un riscatto in BitCoin al fine di evitare attacchi superiori ai 100 Gbps. Il pagamento viene preteso nell'arco di 24-48 ore. La campagna prosegue ormai da inizio Maggio.

mercoledì 15 maggio 2019

Sito web fake di WhatsApp diffonde backdoor per macOS e Windows


La nuova minaccia per sistemi operativi macOS è stata individuata qualche giorno fa dai ricercatori Dr Web: il malware si chiama Siggen.20 e le analisi hanno indicato che si tratta di una backdoor che consente agli attaccanti di scaricare da un server remoto ed eseguire sul dispositivo del codice Python dannoso. 

Siggen infetta i dispositivi delle vittime tramite siti web compromessi gestiti direttamente dai suoi sviluppatori: la maggior parte di questi siti compromessi sono siti personali di persone inesistenti

martedì 14 maggio 2019

Ancora PEC sotto attacco: campagna di email diffonde il malware Gootkit


Yoroi segnala una ennesima, pericolosa, campagna in corso contro aziende e enti pubblici italiani. I tecnici di Yoroi hanno intercettato email dirette alle caselle di posta PEC contenenti allegati infetti. 

Le email vettore
Le email che diffondono il malware sono approntate per sembrare comunicazioni collegate a problematiche di tipo amministrativo, quella che va per la maggiore vuole convincere l'utente ad aprire l'allegato descrivendolo come una fattura non liquidata. 

venerdì 10 maggio 2019

Hacker VS PEC: l'attacco si allarga, il Garante Privacy lancia l'allarme


Le notizie di ieri si sono concentrate sull'attacco che gli hacktivisti di Anonymous hanno lanciato contro i server Lextel, il provider che gestisce gli account email PEC dell'ordine degli Avvocati di Roma. In breve, per rinfrescare la memoria, gli attaccanti sono riusciti a violare l'account amministratore, mettendo quindi le mani sul documento dove erano salvate in chiaro (e già questo fatto è una grave falla di sicurezza) le password di default degli account email PEC: così Anonymous è riuscita a mettere le mani sui dati e la corrispondenza di oltre 30.000 avvocati romani che non hanno mai proceduto alla sostituzione della password di default: l'attacco è avvenuto nei pressi dell' anniversario dell'arresto di Aken e Otherwise, due membri di AnonIta arrestati nel Maggio 2015 (ai quali l'attacco è stato dedicato). 

L'attacco è in corso da giorni, su più obiettivi

giovedì 9 maggio 2019

Nuova versione del ransomware Dharma usa ESET come copertura


E' stata individuata, già in uso in attacchi reali, una nuova versione della famigerata famiglia di ransomware Dharma: in questo caso viene usato, come copertura, l'installer ESET AV Remover. Si tratta di una copertura usata per distrarre le vittime mentre la criptazione dei file avviene in background. L'ESET AV Remover è un software legittimo firmato con valida firma ESET, quindi è un ottimo trucco per distrarre le vittime, dato che non induce sospetti. 

Come si diffonde
Stando all'analisi di BleepingComputer, questo ransomware viene diffuso usando campagne di spam contenenti allegati compromessi: il dropper del ransomwar Dharma è contenuto in questo allegato, un archivio auto estraente protetto da password. L'archivio si chiama Defender.exe ed è ospitato su un server compromesso, link[.]fivetier[.]com.

martedì 7 maggio 2019

[ Giovedì 13 Giugno] [FIRENZE] 1° Privacy Camp: il tour formativo itinerante su GDPR e protezione dati.


PRIVACY CAMP è il tour itinerante per l'Italia che promuove la cultura della privacy e del Regolamento Europeo nelle aziende, nelle attività e negli studi professionali.

Organizzato da gdprlab.it e patrocinato da Accademia Italiana Privacy si articola sugli interventi di 4 relatori che parleranno della privacy da un punto di vista legale, fiscale, pratico e di tecnologia di protezione dei dati.

Cosa si deve fare per essere in regola?
Come bisogna comportarsi con i dipendenti e con i clienti?

lunedì 6 maggio 2019

MegaCortex: il nuovo ransomware che colpisce le reti aziendale (anche in Italia)


E' stato individuato, già usato in attacchi reali, un nuovo ransomware che prende di mira le reti aziendali e le workstation collegate. Si chiama MegaCortex e usa i domain controller di Windows per distribuirsi in tutta la rete, una volta trovato un punto di accesso. Si registrano infezioni già in svariati stati, sopratutto in Stati Uniti, Italia. Canada, Francia, Paesi Bassi e Irlanda. Non si conoscono ancora molti particolari di questo ransomware, sopratutto sui meccanismi di diffusione e di criptazione, perchè risulta essere integralmente nuovo: non c'è traccia, nel suo codice, di elementi "presi in prestito" da altre famiglie di ransomware. 

Quale dato tecnico
Quel che per ora i ricercatori di sicurezza sono riusciti a ricostruire è che il ransomware MegaCortex infetta reti sulle quali sono già presenti altri due malware, ovvero i trojan Emotet (bancario) e Qakbot (botnet): questo fatto suggerisce che gli attaccanti stiano pagando gli operatori ai comandi di questi due trojan per sfruttare l'accesso che questi hanno già ottenuto ai sistemi aziendali. 

venerdì 3 maggio 2019

Campagna di phishing contro utenti italiani a tema "Rimborso canone Rai"


Il CERT-PA ha diramato proprio ieri un alert riguardante una campagna di phishing, attualmente in corso, mirata principalmente agli account email di Pubbliche Amministrazioni e società private: scopo della campagna è indurre le vittime a rivelare le credenziali delle carte di credito aziendali o private, così da poterle rubare. 

L'email fake
Le false email sembrano provenire dall'Assistenza servizi telematici dell'Agenzia delle Entrate: in realtà una analisi attenta mostra come l'indirizzo del mittende sia contraffatto e non riconducibile all'Agenzia stessa. 

Il CERT-PA ha pubblicato l'immagine sotto che mostra un esemplare delle email di questa campagna:

giovedì 2 maggio 2019

Ancora problemi per Windows 10: le nuove funzioni di sicurezza rallentano il sistema


E' di qualche giorno fa un approfondito report, da parte del team di Vivaldi, riguardante l'impatto che le nuove funzioni di sicurezza di Windows 10 hanno sulle performance di sistema. In realtà il report nasce da una approfondita analisi di un grave bug, riscontrato sempre dai ricercatori di Vivaldi, riguardante Chromium: ulteriori analisi hanno mostrato come il grave rallentamento di prestazioni rispetto alle precedenti versioni di Windows (sopratutto Windows 7)  non sia originato da Chromium, ma da una funzione di sicurezza introdotta con Windows 10. 

La problematica
Vivaldi non ha mai usato, come tester, Windows 10, ma solo Windows 7 Pro. L'introduzione nella suite test di Windows 10 ha dimostrato immediatamente la problematica: la durata del test di sicurezza è passata da circa 100 minuti a ben 300 minuti, in alcuni casi perfino 360. I tentativi di

martedì 30 aprile 2019

"Il tuo computer è stato bloccato. Chiama per supporto": la Polizia Postale dirama alert su una nuova ondata di truffe online


La Polizia Postale ha pubblicato pochi giorni fa un avviso per gli utenti italiani, per informare di una nuova ondata di truffe finalizzata all'estorsione di denaro alle vittime

Sono state infatti molteplici le segnalazioni di utenti che, durante la navigazione su siti web anche legittimi, hanno improvvisamente visualizzato un messaggio di allarme proveniente, in apparenza, da Microsoft: 

lunedì 29 aprile 2019

Libero e Virgilio Mail hacked: rubati (da un bar) gli accessi di oltre 1.4 milioni di utenti


E' stato sufficiente appostarsi in un bar di Assago (provincia di Milano) a poche decine di metri in linea d'aria dalla sede di Italiaonline S.p.a con un pc e un antenna per riuscire a rubare le credenziali di accesso ad oltre 1 milione e 400 mila utenti di Libero Mail e Virgilio Mail. La storia, già rimbalzata sulle cronache nazionali, ha dell'incredibile: protagonista uno studente di Giurisprudenza di 24 anni, ingaggiato su Telegram da ignoti attaccanti che gli hanno garantito un buon gruzzolo in Bitcoin come ricompensa. 

L'attacco pare essersi svolto in due diversi momenti: un primo tentativo era stato fermato la scorsa settimana, quando i proprietari del bar in cui si era appostato l'attaccante avevano trovato insolito l'armamentario del ragazzo (montava sul pc una grossa antenna per captare da lontano il WiFi di Italiaonline) e lo avevano inseguito, riuscendo però a scattargli solo una foto.  Il secondo tentativo invece è stato interrotto direttamente dai Carabinieri, che lo attendevano appostati nel bar. 

giovedì 18 aprile 2019

La riscossa di CryptoMix: nuova versione del ransomware in diffusione


Molti ricercatori lo davano ufficialmente per scomparso: non si avevano notizie né di nuove versioni né di nuove campagne del ransomware CryptoMix da tempo. Invece da qualche giorno fioccano denunce di nuove infezioni: molteplici utenti  hanno denunciato di aver subito un'infezione ransomware caratterizzata dall'aggiunta dell'estensione .DLL al file criptati. 

Le vittime riferiscono di aver subito l'infezione dopo un attacco che ha violato i servizi di desktop remoto connessi direttamente ad Internet. Le testimonianze riferiscono inoltre che il ransomware ha abilitato l'account amministratore di default per poi modificarne la password, così da impedire alla vittima di avervi accesso. Fatto che conferma una tendenza già in atto: sempre meno campagne di mailspam di massa per la distribuzione di ransomware in favore di attacchi più mirati su servizi pubblicamente accessibili che garantiscono un accesso più ampio al sistema. 

La nota di riscatto

lunedì 15 aprile 2019

Campagna malware crea botnet per il mining di Monero sfruttando (ancora) EternalBlue


Ricordate l'attacco ransomware del secolo, quello di Wannacry? WannaCry ha registrato una virulenza impressionante grazie all'uso di una serie di exploit sottratti all'NSA dal gruppo hacker Shadow Brokers. Il più importante ed efficace di questi exploit è EternalBlue, che sfrutta una vulnerabilità del protocollo SMBv1. 

Quando si registrarono le prime infezioni di WannaCry questa vulnerabilità era già stata risolta, ma da pochissimo tempo: la campagna di diffusione di WannaCry iniziò il 12 Maggio 2017, la patch diffusa da Microsoft per l'SMB,  disponibile col bollettino di sicurezza MS17-010 risale al Marzo 2017. Insomma, gli utenti che sono stati colpiti da WannaCry nei primi mesi di diffusione sono "giustificabili": che ci sia troppa poca attenzione al problema delle vulnerabilità è un dato di fatto, ma qualche settimana di ritardo è quantomeno comprensibile. 

giovedì 11 aprile 2019

Botnet Mirai: nuove varianti colpiscono nuovi processori e architetture


La saga della Botnet Mirai e del malware responsabile, Mirai appunto, pare non finire mai. Dopo qualche mese di silenzio, i ricercatori della Unit 42 di Palo Alto Network hanno individuato una intera collezione di nuove varianti di Mirai compilate per eseguirsi su processori e architetture nuove, non bersagliati cioè da versioni precedenti.

Aumenta la superficie di attacco
Le nuove versioni, si legge nel report della Unit42, sono compilate per i processori Altera Nios II, OpenRISC, Tensilica Xtensa e Xilinx MicroBlaze. Le nuove varianti "consentono agli attaccanti di espandere la propria superficie di attacco e mirare a nuovi dispositivi". Anche se lo stesso risultato è raggiungibile aggiungendo ulteriori exploit da usare durante gli attacchi, aggiungere altre architetture supportate negli attacchi è un modo più semplice per aumentare il numero di dispositivi che la botnet può aggiungere come nodi controllati. 

Aumenta la potenza di fuoco

mercoledì 10 aprile 2019

Criptovalute: crollo dei miner in-browser, impennata dei malware


Abbiamo denunciato in più occasioni il problema dei miner di criptovalute: nati come strumenti legittimi per sostituire gli ads come mezzo di guadagno per i gestori di siti web, in pochissimo tempo si sono "tramutati" in vere e proprie armi illegali di attacco contro utenti ignari.  La loro diffusione era divenuta così estesa da obbligare piattaforme di rilievo come Google Play  a rimuovere tutte le app per il mining e a impedire la pubblicazione di nuove. 

In questi ultimi due anni, periodo nel quale la loro diffusione ha mostrato una crescita più che esponenziale, si è affermato sopratutto l'uso dei miner in browser: parliamo di codice JavaScript inserito entro siti Internet o web server compromessi o appositamene creati (crypto-jacking) .

Da più fonti, nel mondo della sicurezza informatica, si sta denunciando, però, un cambiamento piuttosto drastico: i dati mostrano un netto calo dei miner in browser, al quale corrisponde al contrario un'impennata dei malware per il mining. Il motivo parrebbe essere legato, principalmente, ad una questione di efficacia. 

lunedì 8 aprile 2019

Piattaforma GDPRlab: le novità della versione 2.0


Da Lunedì 8 Aprile è online la versione 2.0 della piattaforma GDPRlab. Grazie ai nuovi update tecnici e normativi introdotti, ti consentirà di mantenere la tua azienda e quella dei tuoi clienti conforme in tempo reale al Regolamento (UE) 2016/679 (GDPR), verificando il livello di compliance e generando il certificato di conformità secondo le linee guida di Accademia Italiana Privacy (A.I.P.), con il quale potrai fregiarti professionalmente. 

La nuova versione della piattaforma implementa anche il sistema di gestione del livello di formazione dei tuoi incaricati, obbligatoria ai sensi dell'articolo 29 del Regolamento, ti fornisce un sistema di log management per gli Amministratori di sistema e molte altre nuove funzionalità.

Ecco tutte le novità!

giovedì 4 aprile 2019

False comunicazioni INAIL diffondono il malware Gootkit via PEC


Il periodo nero per l'Italia, dal punto di vista della sicurezza informatica, non accenna a finire: l'attentissimo CERT-PA ha diramato stamani un nuovo alert (oltre a quello di cui abbiamo già parlato qui) agli utenti italiani, sopratutto utenti privati. Sono stati infatti proprio utenti privati a segnalare la diffusione di malware via email PEC tramite false comunicazioni INAIL. Da numerosi riscontri su Twitter, di singoli utenti o esperti di cyber sicurezza, si ha conferma del fatto che la campagna è ancora in corso. 

L'email vettore

mercoledì 3 aprile 2019

Di nuovo GandCrab: campagna in corso diffonde la v.5.2 del ransomware


La segnalazione proviene di nuovo dal CERT-PA italiano che, nel corso del fine settimana, ha rilevato una campagna di email di spam che diffonde la versione 5.2 del ransomware GandCrab. In questa campagna, GandCrab viene diffuso tramite email contenenti un allegato .doc, contenente a sua volta una macro dannosa. 

La macro è altamente offuscata per ridurre le possibilità di individuazione da parte delle soluzioni di sicurezza: una volta eseguita tenta immediatamente il download di un file rinominato "it.txt", dal percorso hXXp://134[.]209[.]88[.]23/it.txt. Una volta scaricato il file, lo esegue tramite cmstp.exe (MS Connection Manager Profile Installer) coi parametri 
  • /ns --> questo parametro specifica che non deve essere creata un'icona sul desktop
  • /s --> specifica che l'installazione o la disinstallazione deve avvenire "silenziosamente", ovvero senza che venga visualizzato alcun prompt per richiedere permissioni all'utente. 

Una volta installato, il ransomware esegue alcune verifiche preliminari prima di avviare la routine di criptazione: in prima battuta verifica se sulla macchina compromessa sono presenti processi relativi a soluzioni antivirus.

martedì 2 aprile 2019

vxCrypter: il primo ransomware che cancella i duplicati dei file


Lawrence Abrams,
ricercatore di sicurezza informatica ed esperto di rasnomware, ha individuato una nuova famiglia di ransomware (che per ora si "fregia" del solo capostipite) molto particolare: parliamo di vxCrypter, il primo ransomware che non cripta solo i dati delle vittime, ma "riordina" il computer infetto cancellando i file duplicati. Così, paradossalmente, il primo effetto di questo "trucchetto" è quello di migliorare le prestazioni del pc infetto, liberando spazio. Di contro però, diminuisce il tempo necessario al ransomware per criptare il pc.

Il ransomware è ancora in sviluppo, ma è la prima volta nella storia dei ransomware che il cyber attaccante si occupa anche di cancellare i file duplicati durante la routine di criptazione. vxCrypter è programmato in .NET, ma non è del tutto nuovo: si basa, riadattandolo e "ammodernandolo" su un vecchio ransomware, mai distribuito perchè non è mai terminata la fase di sviluppo: vxLock. Usa, per la criptazione dei file sia l'algoritmo AES sia l'RSA. 

lunedì 1 aprile 2019

Il trojan bancario Gootkit diffuso via PEC contro utenti italiani


Ennesimo allarme da parte del CERT-PA su una campagna di email di spam che diffonde il trojan bancario Gootkit contro utenti italiani: la notizia è datata 28 Marzo e la campagna pare ancora in corso. Il problema è stato segnalato nei giorni scorsi da svariati utenti, principalmente appartenenti alla Pubblica Amministrazione: nelle segnalazioni si menzionano sia email PEC che email ordinarie come veicoli dell'allegato dannoso. 

Le email vettore
Al momento, il CERT-PA conferma di aver proceduto ad analisi della campagna individuando due diverse tipologie di email vettore: una con oggetto "Tribunale di Napoli Procedura esecutiva immobiliare n. 981/2007", che porta con sé come allegato un archivio compresso chiamato “Tribunale_di_Napoli__ABCDEF.zip“, dove ABCDEF sono serie di numeri casuali. 

giovedì 28 marzo 2019

Ransomware: l'Italia prima in europa e decima nel mondo per numero di vittime


TrendMicro lancia un allarme che non può essere ignorato: stando ai dati del loro ultimo rapporto annuale sulla sicurezza, che ripercorre i cyber-rischi nel 2018, l'Italia è una delle vittime preferite degli sviluppatori di ransomware.

Se nella classifica mondiale del numero di vittime di ransomware, siamo in decima posizione (dove i primi gradini di questo infausto podio sono occupati da Stati Uniti, Brasile e India), in Europa abbiamo conquistato il gradino più alto del podio.

In controtendenza...
La particolarità è che, in senso inverso rispetto allo scenario italiano, i ransomware presentano un trend di forte decrescita confermato dalla maggior parte dei vendor di software antivirus mondiali: si parla di una riduzione del fenomeno di oltre il 91% rispetto al 2017. Segno, come abbiamo ripetuto già in altre occasioni, che la scena del cyber-crime sta mutando nell'approccio e nelle tattiche.  Ad esempio il 2018 ha ribadito un cambio qualitativo nell'approccio dei cyber criminali: non più campagne di attacco di proporzioni enormi finalizzate a colpire la più grande quantità di utenti possibili; al contrario gli attacchi si sono fatti più raffinati e mirati. Il trend è confermato dall'aumento degli attacchi BEC (Business Email Compromise), aumentati di quasi il 30% rispetto al 2017. 

Facebook: di nuovo a rischio milioni di account a causa di una falla


Per Facebook l' "annus horribilis" pare non finire mai:  l'ultimo scandalo relativo alla sicurezza di uno dei social network più diffuso al mondo è di qualche giorno fa.  Circa 600 milioni di account sono a rischio a causa di una falla nel sistema: le loro password sono finite salvate in un normalissimo documento di testo privo di qualsiasi basilare forma di sicurezza o criptografia, accessibili completamente a tutti i dipendenti della società. 

L'ammissione dell'errore viene da fonti interne allo stesso social, nel dettaglio da Pedro Canahuati,  Vice Presidente del team Engineering, Security and Privacy di Facebook stessa, con un un post pubblicato sul blog ufficiale di Facebook: nel testo si specifica che il problema ha riguardato utenti di Facebook Lite, Facebook, ma anche decine di migliaia di utenti Instagram. 

La falla: cosa si sa?

martedì 26 marzo 2019

L'università di Venezia scopre 10mila siti a rischio e mette (definitivamente) in dubbio la sicurezza del protocollo HTTPS


Lo studio è stato effettuato dall'Università Ca' Foscari di Venezia (qui l'abstract del paper) e mette in dubbio, forse più nettamente di altri situazioni studi simili, l'effettiva sicurezza del protocollo HTTPS: insomma, la presenza di questa sigla nell'indirizzo di un sito non è più una condizione sufficiente per sentirsi tranquilli quando si naviga su un sito. 

Come risaputo, il protocollo HTTPS serve a rendere sicura la comunicazione sul web fornendo un livello di protezione criptata che garantisca riservatezza e integrità alla comunicazione. Abilita inoltre l'autenticazione tra client e server. L'HTTPS si basa però, a sua volta, su un insieme di protocolli SSL / TLS che nel corso degli anni hanno dimostrato di avere alcune falle che ne hanno "certificato" una certa vulnerabilità. Questa problematica ha richiesto patch e mitigazioni sia nei server che nei browser, portando ad un complesso mix di diverse versioni di protocolli e implementazioni che, talvolta, rendono assai difficile capire quali tipi di attacchi siano ancora efficaci sul web e quali ripercussioni causino alle applicazioni di sicurezza. 

mercoledì 20 marzo 2019

Italia ancora sotto attacco: documenti Excel compromessi nascondono il trojan bancario Gozi


Il Cert-PA ha reso nota una campagna di diffusione malware via email pensata appositamente per utenti italiani.  Ricalca una campagna avvenuta poco tempo fa, sempre contro utenti italiani (ne abbiamo reso nota qui), che utilizza tecniche di steganografia per evitare l'individuazione da parte dei sistemi di sicurezza perimetrali. 

Il testo dell'email vettore, in italiano, è visibile sotto:

martedì 19 marzo 2019

Raffica di attacchi che sfruttano una vulnerabilità di WinRAR per diffondere malware: c'è pure un ransoware


WinRAR è un programma estremamente diffuso e popolare, il più usato dagli utenti Windows per la gestione di archivi compressi in diversi formati: non ci sono dubbi quindi che, per i cyber attaccanti, sia un target sicuro che permette un vasto "terreno di caccia". Qualche giorno fa il ricercatore Nadav Grossman ha denunciato la presenza in WinRAR di un bug presente da oltre 19 anni e mai scoperto: una vulnerabilità 0-day di livello critico. 

La problematica ruota attorno al formato compresso ACE: è nella gestione dei file compressi in questo formato che si annida la vulnerabilità CVE-2018-20250, che consente l'esecuzione di codice da remoto al momento stesso in cui viene estratto il file. Se infatti un utente apre un archivio compromesso in formato ACE usando WinRar, un eventuale malware contenuto al suo interno  può essere immediatamente installato sul computer.  Ma un exploit con successo di questo bug consente all'attaccante anche altre azioni dannose, come la possibilità di estrarre file nella cartella che contiene i programmi di startup, quelli che vengono immediatamente eseguite all'avvio stesso del pc o la possibilità di sfruttare il protocollo SMB per diffondersi ulteriormente nella rete.  Il rischio di contagiosità poi è elevatissimo, dato che gli archivi compressi sono pensati appositamente per la condivisione agile e veloce di file pesanti. 

giovedì 14 marzo 2019

Servizi VPN per Android: oltre il 62% richiede permissioni invadenti e superflue.


Il ricercatore di sicurezza John Mason, esperto di privacy e servizi di Virtual Private Network, qualche tempo fa ha rivelato un dato molto interessate, ovvero che la maggior parte dei servizi VPN gratuiti forniti dalle big corporation raccolgono moltissimi (ok, forse è il caso di dire troppi) dati degli utenti. 

Così Mason ha deciso di approfondire ulteriomente il tema, analizzando il comportamento rispetto alla privacy degli utenti delle più diffuse e popolari VPN per Android, sia gratuite che a pagamento: il risultato, lo scrive lui stesso, è stato scioccante!

Il 62% delle App VPN per Android richiede permissioni pericolose

mercoledì 13 marzo 2019

Operazione "Pistacchietto": la campagna di spionaggio tutta italiana


Nei giorni scorsi i ricercatori di Yoroi hanno analizzato una nuova campagna in corso in Italia. L'hanno ribattezzata "Operation Pistacchietto", dallo username di un account Github utilizzato per fornire alcune parti del malware. L'origine tutta italiana della campagna è confermata da varie prove tra le quali in rinvenimento di parole come "pistacchietto" appunto e "bonifico" nei nomi file e negli script della campagna, ma anche dalla localizzazione geografica della maggior parte dei server di comando e controllo. 

martedì 12 marzo 2019

STOP ransomware: cripta i file e installa il trojan Azorult per il furto delle password


Individuata per la prima volta nei giorni di Natale del 2017, la famiglia di ransomware STOP conta ormai già quasi una ventina di diverse versioni, suddivisibili in due gruppi facilmente individuabili dall'estensione che aggiungono ai file dopo la criptazione.  

1. Gruppo STOP:
- sottogruppo STOP :
estensioni - STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA 
- sottogruppo KEYPASS: estensioni - .KEYPASS, .WHY, .SAVEfiles 
- sottogruppo DATAWAIT:estensioni .DATAWAIT, .INFOWAIT 
- sottogruppo Puma :estensioni .puma, .pumax, .pumas, .shadow 

2. Sottogruppo Djvu
- sottogruppo Djvu-1: 
estensioni: .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut, .djvup, .djvuu, .djuvq 
- sottogruppo Djvu-2:
estensioni .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee 
- sottogruppo Promo:
estensioni .blower, .promos, .promoz, .promock, .promorad, .promok, .promorad2 ... 

mercoledì 6 marzo 2019

Rietspoof: il trojan spia che si diffonde tramite Facebook Messenger e Skype


L'allerta viene dai ricercatori di Avast, che stanno studiando questo malware già dall'Agosto 2018, periodo nel quale sono avvenute le prime individuazioni. I ricercatori non ne avevano però ancora dato notizia sia perchè, almeno fino al picco del Gennaio 2019, dimostrava scarsissima diffusione, sia perchè la particolare struttura di questo trojan ne rende molto difficile l'analisi e quindi la comprensione del reale potenziale di rischio: parliamo infatti di un malware composto da una serie di strumenti che agiscono in fasi diverse, determinando una complessa struttura definita "a Matrioska".  In parole semplici, Rietspoof è composto da payload diversi, concatenati tra loro e che svolgono, ognuno, specifici compiti in stadi diversi dell'infezione.  

Che cosa fa?

martedì 5 marzo 2019

GandCrab e la "porn extortion"


"Abbiamo preso il controllo della tua webcam e ti abbiamo ripreso mentre guardi video porno. Abbiamo criptato i tuoi dati. E ora vogliamo il riscatto".

Si presenta così la nuova estorsione a sfondo sessuale, dopo un periodo di (relativa) calma:  questo schema di ricatto si è già visto molte volte nel corso dello scorso anno, usato per la diffusione di varie tipologie di malware e convincendo non poche vittime, sulla scia della vergogna e della paura, a pagare il riscatto. La campagna attuale distribuisce il ransomware GandCrab, una delle punte di diamante tra gli strumenti del cyber crimine. 

GandCrab in breve
abbiamo parlato dettagliatamente di questo ransomware e delle versioni diffuse in questo testo.  GandCrab è quello che, detto tecnicamente, si chiama un RaaS, ransowmare as a service: un vero e proprio servizio dove il malware è messo in vendita/affitto ad una vasta rete di sub-distributori. I gestori forniscono il codice del ransomware e assistenza tecnica, ricevendo in cambio dai clienti una percentuale su ogni riscatto ottenuto. La versione attualmente in diffusione, la 5.2, non ha una soluzione.  Alcune delle versioni precedenti invece sono risolvibili senza il pagamento del riscatto. 

lunedì 4 marzo 2019

GarrantyDecrypt, il ransomware che si camuffa da servizio di sicurezza di Proton


E' stata individuata una nuova variante del ransomware GarrantyDecrypt, già diffusa in attacchi reali contro utenti home. Questa famiglia di ransomware è stata individuata nell'Ottobre 2018 dal ricercatore Micheal Gillespie: non ha mai conosciuto una diffusione su larga scala, come altri malware "di punta" della categoria, ma si lascia costantemente alle spalle una scia di vittime.

Stando agli invii su ID-Ransomware (un utile strumento dove è possibile caricare file dannosi, o sospettati di essere tali, per individuare il tipo di infezione, ma anche per permettere ai ricercatori di sicurezza di analizzare nuovi attacchi), GarrantyDecrypt dimostra un flusso costante di utenti che hanno inviato al servizio nota di riscatto e file criptati -vedi foto sotto.

venerdì 1 marzo 2019

Credential stuffing: oltre 28 miliardi di tentativi di furto account solo nella seconda metà del 2018


Nel corso della seconda metà del 2019, tra Maggio e Dicembre 2018, sono stati rilevai circa 28 miliardi di tentativi di "credential stuffing": al centro di questo tipo di attacchi i siti web di vendita online al dettaglio, categoria che ha registrato da sola ben 10 miliardi di tentativi. 

Sono i dati pubblicati da Akamai nel report "State of the Internet / Retail Attacks and API Traffic report -2019", dati che dimostrano una drastica crescita dell'uso in larga scala di botnet per attacchi di credential stuffing. 

Che tipo di attacco è il "credential stuffing"?
è un tipo di cyber attacco piuttosto recente che sfrutta l'enorme quantità di data breaches registrati negli anni passati. Lo scopo è quello di prendere possesso degli account di quegli utenti che (pessima abitudine!) usano le stesse credenziali di accesso su diversi servizi ed account. I cyber attaccanti cioè, partendo dai database di credenziali rubate in vendita nel deep web, non fanno altro che tentare le stesse combinazioni di username e password su siti e servizi che non hanno ancora subito intrusioni. 

Un esempio su tutti, il caso Yahoo

giovedì 28 febbraio 2019

Coin Hive termina il servizio: scompare lo script per il mining di criptovaluta più usato dai cyber attaccanti


Abbiamo parlato spesso di CoinHive, sopratutto in termini negativi: nato come servizio in-browser legittimo per il mining di criptovaluta, si è trasformato piuttosto velocemente in uno strumento di attacco usato di nascosto sulle macchine delle vittime. E' diventato cioè da strumento regolare per aumentare i profitti derivanti dalle visualizzazioni di un sito web (inizialmente sopratutto  per sostituire i fastidiosi ads pubblicitari), ad uno strumento di cyber attacco che ha permesso ai cyber criminali di guadagnare centinaia di migliaia di dollari sfruttando il computer di milioni di persone che si trovavano a visitare siti web appositamente compromessi. 

E' stato CoinHive stesso ad annunciare la definitiva sospensione del servizio a partire dall'8 Marzo 2019. 

In breve

mercoledì 27 febbraio 2019

Trojan bancario TrickBot: adesso ruba anche le credenziali di accesso da remoto


Il trojan bancario TrickBot non è certo nuovo, ma ci sono alcune novità: il modulo per il furto password di questo malware è stato recentemente aggiornato e la nuova versione è già in distribuzione. La nuova versione è stata individuata nel Gennaio 2019 e si è dimostrata essere una versione aggiornata di una variante già individuata in Novembre, la prima ad essere dotata di un modulo per il furto password di questo tipo.

Le credenziali sotto attacco sono quelle usate per autenticarsi ai server da remoto usando il Remote Desktop Protocol (RDP), VNC e PuTTY. 

Una complessa procedura di infezione

martedì 26 febbraio 2019

Quick Heal Threat Report - un approfondimento sul ransomware GandCrab


Il più importante e dannoso ransomware del 2018 è stato indubbiamente GandCrab. Individuato all'inizio del gennaio 2018, questo ransomware infettò oltre 48.000 nodi in meno di un mese. Un'infezione massiva che mise  immediatamente in allarme l'Europol e la convinse ad attaccare i server di GandCrab per sottrarne le chiavi di criptazione. Da allora GandCrab ha continuato ad evolversi ed aggiornarsi, lanciando in pochi mesi ben 5 diverse varianti (con svariate sottovarianti), diventando un serio rischio per gli utenti.  A conferma della sempre maggiore rilevanza di GandCrab arriva anche il fatto che gli stessi siti web compromessi usati in questi ultimi mesi per la distribuzione di Emotet (il trojan bancario "protagonista" del 2018) hanno iniziato a diffondere il ransomware GandCrab v.5.1. 

Un pò di storia... le versioni di GandCrab

venerdì 22 febbraio 2019

Nuovo attacco in corso (anche in Italia): il malware-kit combina trojan, miner e malware per il furto dati


Alcuni ricercatori di sicurezza hanno dato notizia di una pericolosissima campagna di attacco, già individuata svariate volte in Italia, Cina, Taiwan e Hong Kong:  parliamo di un vero e proprio "kit da attacco" composto da due trojan e un miner per la criptovaluta Monero, in diffusione via internet e rete in area locale. 

Il kit è stato scoperto casualmente, quando i ricercatori di Trend Micro hanno individuato un attacco molto strano, durante il quale si scaricavano nella cartella Windows file apparentemente casuali su computer aventi la porta 445 aperta e non aggiornata, quindi vulnerabile alla compromissione con l'exploit del protocollo SMB di Window Server. La vulnerabilità sfruttata è la MS17-010, già risolta nel 2017. 

L'accesso nell'host

martedì 19 febbraio 2019

Attacco in corso contro aziende italiane: i vettori sono archivi cifrati


I ricercatori di sicurezza del CERT-PA hanno lanciato un allarme relativo ad una campagna di attacco in corso, da qualche giorno, in maniera specifica contro aziende e organizzazioni italiane. Il modus operandi è davvero insidioso: gli attaccanti sfruttano scambi email realmente intercorsi tra le vittime e, come indirizzi mittenti, delle email infette. Un meccanismo già noto in realtà, poiché già rilevato in precedenti campagne che, nel corso del 2018, hanno diffuso il malware infostealer Ursnif. 

Le email fake
Le email di questa campagna sono contraddistinte dalla presenza di allegati compressi protetti da password: all'interno di questi archivi sono inseriti documenti dannosi che contengono, entro una macro integrata, script PowerShell che avviano il download e l'esecuzione del trojan Ursnif sul sistema bersaglio.  Questa è una tecnica niente affatto nuovo, ma molto efficace per nascondere i documenti dannosi ai software e alle varie misure di sicurezza aziendali (controlli perimetrali in primis). 

lunedì 18 febbraio 2019

I miner di criptovaluta sbarcano sul Microsoft Store per la prima volta


E' stato individuato sul Microsoft Store un gruppo di 8 applicazioni potenzialmente indesiderate (PUA), responsabili del download sul dispositivo degli script dannosi per il mining di criptovaluta Coinhive Monero (XMR). Sfruttano, per la diffusione, la libreria legittima Google Tag Manager (GTM).  I fatti interessanti relativi a queste individuazioni sono due: 
  • è la prima volta che vengono riscontrati miner di criptovaluta illegittimi sul Microsoft Store;
  • GTM è un sistema di gestione dei tag progettato da Google per aiutare gli sviluppatori a inserire contenuti KJavascript e HTML nelle proprie app a scopo di analisi e monitoraggio ed è la prima volta che il sistema viene invece usato per distribuire script dannosi di questo tipo.
Le app compromesse (e già rimosse da Microsoft) sono:
  1. Fast-search Lite
  2. Battery Optimizer (Tutorials)
  3. VPN Browser+
  4. Downloader for YouTub Videos
  5. Clean Master+ (Tutorials)
  6. FastTube
  7. Findoo Browser 2019
  8. Findoo Mobile & Desktop Search. 

venerdì 15 febbraio 2019

Emotet torna alla carica: nuova variante evita l'individuazione da parte degli antivirus


Del trojan Emotet abbiamo parlato recentemente, come un dei "Top 10 Malware" del 2019:  che stia diventando uno strumento malware estremamente pericoloso è un dato di fatto confermato anche da uno specifico avviso di sicurezza diramato dal CERT-USA nel Luglio 2018, dall'attenzione della comunità dei ricercatori di sicurezza, ma anche dal continuo investimento che i suoi gestori stanno facendo nel migliorarlo e affinarlo costantemente.

Emotet in breve
Emotet, conosciuto anche come Geodo o Heodo, è un trojan modulare sviluppato per rubare, principalmente, informazioni bancarie o finanziarie come le credenziali di accesso all'home banking o i wallet di criptovalute. Oltre a ciò, esfiltra dati sensibili, credenziali di login di svariate tipologie di servizi e informazioni personali. Non viene mai da solo, anzi, funge da distributore di altri trojan bancari, malware per il furto dati o bot modulari altamente personalizzabili come Trickbot.  Bersaglia utenti in tutto il mondo, con una particolare attenzione però a utenti statunitensi ed europei.

La nuova campagna

giovedì 14 febbraio 2019

Malware per macOS disabilita la protezione Gatekeeper


E' stata individuata una nuova variante di Shlayer, un malware multi-stage che colpisce esclusivamente utenti dei sistemi operativi Mac.  La nuova variante riesce ad ottenere i privilegi di amministrazione sul sistema infetto sfruttando una tecnica (vecchia di due anni, ma ancora efficace) con la quale disabilita il Gatekeeper, ovvero quella tecnologia, prevista in ogni macOS, che ha lo scopo di garantire che sul Mac vengano eseguiti solo software affidabili.

Shlayer è stato individuato in azione per la prima volta come parte di una campagna malware durata per tutto il Febbraio 2018, nella quale falsi Installer di Adobe Flash Player diffondevano alcune famiglie di malware per piattaforme Mac. 

La nuova versione

mercoledì 13 febbraio 2019

Fattura elettronica: esplode il rischio di attacchi via PEC. Campagna malware in corso in Italia


La recente normativa sulla fatturazione elettronica ha dato nuovo impulso all'uso della PEC, la Posta Elettronica Certificata. Di per sè la PEC è uno strumento molto utile, che garantisce la tracciabilità del mittente e l'ufficialità delle comunicazioni.  Nel mondo del cyber crimine, però, quando uno strumento informatico va incontro ad un utilizzo massivo, questo diventa immediatamente bersaglio delle attenzioni degli attaccanti come possibile mezzo per veicolare efficaci e capillari attacchi. 

Prima dell'entrata in vigore,  lo scorso 1° Gennaio, del nuovo sistema di fatturazione elettronica la PEC rimaneva uno strumento utilizzato in ambiti piuttosto limitati, sopratutto in caso di comunicazioni con le Pubbliche Amministrazioni, con gli ordini professionali o in altri ridotti ambiti di comunicazione formale. Nonostante la limitata diffusione, già nel Marzo 2017 le PEC erano state sfruttate per distribuire in maniera massiccia un ransomware, Cyrpt0L0cker. L'utilizzo della PEC infatti rende più credibile l'email e può indurre il destinatario ad aprire con più facilità eventuali allegati o link dannosi. 

Nuova campagna malware via PEC

martedì 5 febbraio 2019

Nuovo malware per MAC ruba credenziali bancarie e dei portafogli di criptovaluta


CookieMiner è un nuovo malware capace di rubare e esfiltrare dai browser web i cookie relativi ai wallet dei servizi online e ai siti web di scambio di criptovaluta, così come password, messaggi di testo e credenziali dellle carte di credito. Questo malware colpisce soltanto i dispositivi MAC e condivide parti di codice con esemplari di malware già conosciuti: OSX.DarthMiner e OSX.LamePyre. Tutti questi malware usano la backdoor EmPyre a fini di controllo da remoto e persistenza e per inviare comandi arbitrari ai MAC infetti dopo il successo dell'exploit. 

Dato che ormai la quasi totalità degli exchange di criptovaluta e dei servizi di wallet online usano metodi di autenticazione a più fattori, CookieMiner tenta di aggirare questi processi di autenticazione collezionando una complessa combinazione di credenziali di login, messaggi di testo e cookie web. 

CookieMiner consente ai suoi sviluppatori di mettere le mani su una grande quantità di dati dalle macchine compromesse: tutto inizia con uno script shell che avvia la raccolta dei cookie dal browser e li carica su un server remoto che esegue il servizio curldrop.

lunedì 4 febbraio 2019

Attenzione: attaccanti usano falso TeamViewer per diffondere malware


TeamViewer è un famosissimo software di condivisione del dekstop da remoto: è usato da oltre 1 miliardo di utenti e, ovviamente, è un target assai interessante per i cyber truffatori. Qualche giorno fa alcuni ricercatori di sicurezza hanno individuato una campagna malware che attacca gli ignari utenti con una versione manomessa e dannosa di TeamViewer

N.B: il sito ufficiale di TeamViewer NON E'STATO COMPROMESSO. I download dal sito ufficiale sono sicuri. Le versioni dannose in analisi provengono da fonti di terze parti.

Tutto inizia il 20 Gennaio, quando un ricercatore di sicurezza che gestisce il Twitter di FewAtoms ha rilevato un URL dannoso contenente una directory aperta che conduceva gli utenti al download di un archivio auto-estraente. Analisi approfondite di questo archivio hanno portato a individuare, "travestito" appunto da TeamViewer un trojan-spyware programmato per raccogliere e rubare le informazioni dell'utente. 

venerdì 1 febbraio 2019

Il trojan per il furto di credenziali Azorult si camuffa da Google Update e diventa invisibile


Azorult è una vecchia conoscenza: è un info-stealer, un trojan progettato per sottrarre informazioni e credenziali dai sistemi infetti.  E' pensato per estrarre più informazioni  e dati sensibili possibile da più fonti: file,  cookie, cronologia del browser per estrarre le credenziali bancarie e i dati dei Portafogli di criptovalute. E' un trojan in evoluzione continua, noto anche come downloader dei payload di altri malware in campagne di infezione organizzate in più fasi. Spesso è stato individuato in campagne che diffondono su vasta scala ransomware, altri info-stealer e malware per il mining di criptovaluta. 

Qualche giorno fa è stata individuata una nuova campagna di diffusione di Azorult: anziché usare la classica campagna di spam, gli autori di Azorult lo propongono come installer per i Google Update. Se un utente scarica ed esegue il Google Update fake, questo ottiene immediatamente la persistenza sul computer sostituendo l'Updater legittimo. 

Un certificato rubato per legittimare il falso Google Updater

giovedì 31 gennaio 2019

GDPR: diamo i numeri! 42.000 data breach notificati, 255 indagini in corso.


Il 25 Gennaio 2019 il Primo Presidente Timmermans, il Vice Presidente Ansip e i commissari Jourova e Gabriel hanno rilasciato una dichiarazione congiunta in vista della Giornata della Protezione dei Dati.  La dichiarazione è arrivata in occasione del Data Protection Day, che cade per l'appunto precisamente 8 mesi dopo l'entrata in vigore del GDPR.


La dichiarazione è molto utile perchè, per la prima volta dall'entrata in vigore del GDPR, traccia un quadro della situazione attuale relativa alla compliance al GDPR e alle denunce/indagini in corso. 

Nella dichiarazione, i membri della Commissione Europea affermano che le autorità per la protezione dei dati (DPA) in tutta Europa hanno ricevuto oltre 95.000 reclami riguardanti la cattiva gestione dei dati personali: la maggior parte di queste sono state presentate da persone fisiche, ma non mancano i reclami provenienti da persone giuridiche. 

I tipi più comuni di reclami, stando ai dati della Commissione Europea, riguardano il telemarketing, le e-mail promozionali e la videsorveglianza / CCTV, settori nei quali sono risultate evidenti le violazioni di più disposizioni. 

giovedì 24 gennaio 2019

Una nuova campagna di spam diffonde la versione 5.1 di Gandcrab


I ricercatori di sicurezza hanno individuato, già in diffusione con una capillare campagna di spam, la nuova versione del ransomware GandCrab: siamo ormai alla versione 5.1 di questo pericolosissimo ransomware.  Il ransomware viene diffuso secondo lo schema classico: la vittima riceve una emal di spam contenente, in allegato, un documento Word dannoso. All'apertura, il documento Word scarica e installa il ransomware da un computer remoto. 

Questa campagna è "spinta" da un server già conosciuto dalla comunità dei ricercatori di sicurezza: è lo stesso server che, fino a poco tempo fa, distribuiva il trojan bancario Ursnif e che adesso invece funge da "base di invio" per GandCrab v.5.1.

L'email di spam
L'email è composta secondo alcuni principi di ingegneria sociale: per ingannare il destinatario e convincerlo ad aprire il documento allegato l'email si finge la mappa aggiornata delle uscite di sicurezza dell'edificio del destinatario.  Il mittente di quasi tutte queste email risulta essere Rosie L. Ashton, l'oggetto ricorrente è "Up to date emergency exit map".  L'allegato, in formato .doc, è rinominato "Emergencyexitmap.doc"

mercoledì 23 gennaio 2019

Nuovo ransomware ruba i dati di PayPal con un link di phishing nella nota di riscatto


Che i ransomware non godano più "della forma" della quale godevano qualche anno fa è un dato di fatto: che ormai siano altri i tipi di attacco preferiti dai cyber criminali è anch'esso un fatto, confermato dalle statistiche di rilevamento e dai report di praticamente tutti i maggiori vendor di soluzioni antivirus. Questo però, come abbiamo ribadito più volte, non significa che la minaccia dei ransomware sia "estinta" o che non vi siano ancora nuove tecniche di attacco in sperimentazione. 

Proprio di questo, di una nuova tecnica di attacco, parliamo a riguardo di un ransomware ancora in sviluppo che è stato individuato dai ricercatori di MalwareBytes. Il ransomware in sé non manifesta alcuna particolarità, fatta eccezione per la nota di riscatto, che contiene un link ad una pagina di phishing di PayPal. Il tentativo è quello, ovviamente, di massimizzare il profitto conseguente all'attacco: non solo quindi l'estorsione di denaro per riportare in chiaro i file criptati, ma anche il furto dei dati della carta di credito della vittima e, in caso di clic, anche delle credenziali PayPal. 

La nota di riscatto

martedì 22 gennaio 2019

Google Drive può diventare il Server di comando e controllo dei malware?


Dato che ormai la maggior parte delle soluzioni di sicurezza controlla costantemente il traffico di rete per rilevare indirizzi IP dannosi, gli attaccanti sono corsi ai ripari usando sempre più spesso le infrastrutture di servizi legittimi per nascondere/gestire le loro attività dannose. 

Alcuni ricercatori di sicurezza hanno individuato una nuova campagna malware, collegata al popolare gruppo di cyber attaccanti DarkHydrus APT, che usa Google Drive come server di comando e controllo (C2). Il gruppo è conosciuto per aver sfruttato il tool open source Phishery per rubare credenziali a enti governativi e istituti educativi di vari stati del Medio Oriente. 

La campagna attuale
L'attacco in corso vede l'uso di una nuova variante della backdoor usata già in passato da questo gruppo: parliamo di RogueRobin, che infetta le vittime una volta che queste vengono indotte con l'inganno ad aprire un documento Microsoft Excel contenente una macro VBA integrata (una tecnica di infezione diversa dal passato, dato che il gruppo ha sempre preferito sfruttare vulnerabilità 0-day di Windows). 

lunedì 21 gennaio 2019

Il ritorno dell'exploit kit Fallout (col ransomware GandCrab)


Fallout EK è tutt'altro che una nuova conoscenza: ne abbiamo già parlato a Settembre dello scorso anno, quando numerosi ricercatori di sicurezza lo individuarono, in contesti diversi, a distribuire sia ransomware che trojan che altri tipi di programmi indesiderati. 

Dopo una settimana di pausa, tra il 27 Dicembre e il 4 Gennaio (periodo nel quale in Internet non c'era traccia di lui), Fallout è tornato in "in affari", con numerosi nuovi strumenti di supporto: il supporto HTTPS, un nuovo exploit Flash, la capacità di fornire il payload tramite Powershell ecc...

Prima di questa breve pausa, Fallout EK sfruttava due vulnerabilità:

- la CVE-2018-4878 di Adobe Flash Player (use-after-free);
- la CVE-2018-8174 di VBScript di Windows (esecuzione codice da remoto).

Le novità
Stando alle analisi di alcuni ricercatori di sicurezza, la nuova versione di Fallout EK è adesso capace di sfruttare la vulnerabilità CVE-2018-15982, scoperta e risolta da Adobe il 5 Dicembre 2018. Una volta sfruttata, la vulnerabilità CVE-2018-15982 consente all'attaccante di eseguire codice arbitrario sulla macchina bersaglio, se questa esegue Flash Player fino alla versione 31.0.0.153.